Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2859-1 pidgin

Debians sikkerhedsbulletin

DSA-2859-1 pidgin -- flere sårbarheder

Rapporteret den:

10. feb 2014

Berørte pakker:

pidgin

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Pidgin, en chatklient som understøtter flere protokoller:

• CVE-2013-6477

  Jaime Breva Ribes opdagede at en fjern-XMPP-bruger kunne udløse et nedbrud ved at sende en meddelelse med en tidsstempling i den fjerne fremtid.

• CVE-2013-6478

  Pidgin kunne bringes til at gå ned ved hjælp af alt for brede tooltip-vinduer.

• CVE-2013-6479

  Jacob Appelbaum opdagede at en ondsindet server eller en manden i midten, kunne sende en misdannet HTTP-header, medførende et lammelsesangreb (denial of service).

• CVE-2013-6481

  Daniel Atallah opdagede at Pidgin kunne bringes til at gå ned gennem misdannede Yahoo! P2P-meddelelser.

• CVE-2013-6482

  Fabian Yamaguchi og Christian Wressnegger opdagede at Pidgin kunne bringes til at gå ned gennem misdannede MSN-meddelelser.

• CVE-2013-6483

  Fabian Yamaguchi og Christian Wressnegger opdagede at Pidgin kunne bringes til at gå ned gennem misdannede XMPP-meddelelser.

• CVE-2013-6484

  Man opdagede at ukorrekt fejlhåndtering ved læsning af et svar fra en STUN-server, kunne medføre et nedbrud.

• CVE-2013-6485

  Matt Jones opdagede et bufferoverløb i fortolkningen af misdannede HTTP-svar.

• CVE-2013-6487

  Yves Younan og Ryan Pentney opdagede et bufferoverløb ved fortolkning af Gadu-Gadu-meddelelser.

• CVE-2013-6489

  Yves Younan og Pawel Janic opdagede et heltalsoverløb ved fortolkning af MXit-emoticons.

• CVE-2013-6490

  Yves Younan opdagede et bufferoverløb ved fortolkning af SIMPLE-headere.

• CVE-2014-0020

  Daniel Atallah opdagede at Pidgin kunne bringes til at gå ned gennem misdannede IRC-parametre.

I den gamle stabile distribution (squeeze), stilles der ikke direkte tilbageførsel til rådighed. En rettet pakke vil om kort tid blive stillet til rådighed gennem backports.debian.org.

I den stabile distribution (wheezy), er disse problemer rettet i version 2.10.9-1~deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.10.9-1.

Vi anbefaler at du opgraderer dine pidgin-pakker.